Waarschuwingen voor toegang tot referenties
Cyberaanvallen worden doorgaans gestart tegen elke toegankelijke entiteit, zoals een gebruiker met beperkte bevoegdheden, en verplaatst zich lateraal totdat de aanvaller toegang krijgt tot waardevolle assets. Waardevolle assets kunnen gevoelige accounts, domeinbeheerders of zeer gevoelige gegevens zijn. Microsoft Defender for Identity identificeert deze geavanceerde bedreigingen bij de bron in de hele kill chain voor aanvallen en classificeert deze in de volgende fasen:
- Verkennings- en detectiewaarschuwingen
- Waarschuwingen voor escalatie van persistentie en bevoegdheden
- Toegang tot referenties
- Waarschuwingen voor laterale verplaatsing
- Andere waarschuwingen
Zie Beveiligingswaarschuwingen begrijpen voor meer informatie over de structuur en algemene onderdelen van alle Defender for Identity-beveiligingswaarschuwingen. Zie beveiligingswaarschuwingsclassificaties voor informatie over Terecht-positief (TP) en Goedaardig terecht-positief (B-TP) en Fout-positief (FP).
Met de volgende beveiligingswaarschuwingen kunt u verdachte activiteiten die door Defender for Identity in uw netwerk zijn gedetecteerd, identificeren en herstellen.
Referentietoegang bestaat uit technieken voor het stelen van referenties, zoals accountnamen en wachtwoorden. Technieken die worden gebruikt om referenties op te halen, zijn keylogging of het dumpen van referenties. Het gebruik van legitieme referenties kan kwaadwillende personen toegang geven tot systemen, ze moeilijker te detecteren en de mogelijkheid bieden om meer accounts te maken om hun doelen te bereiken.
Verdachte Beveiligingsaanval (LDAP) (externe id 2004)
Vorige naam: Brute force attack using LDAP simple bind
Ernst: gemiddeld
Beschrijving:
Bij een brute-force-aanval probeert de aanvaller zich te verifiëren met veel verschillende wachtwoorden voor verschillende accounts totdat er ten minste één account een correct wachtwoord wordt gevonden. Zodra een aanvaller zich heeft gevonden, kan hij zich aanmelden met dat account.
In deze detectie wordt een waarschuwing geactiveerd wanneer Defender for Identity een groot aantal eenvoudige bindingsverificaties detecteert. Deze waarschuwing detecteert beveiligingsaanvallen die horizontaal worden uitgevoerd met een kleine set wachtwoorden voor veel gebruikers, verticaal met een grote set wachtwoorden voor slechts een paar gebruikers of een combinatie van de twee opties. De waarschuwing is gebaseerd op verificatie-gebeurtenissen van sensoren die worden uitgevoerd op de domeincontroller en AD FS/AD CS-servers.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| MITRE-aanvalstechniek | Brute Force (T1110) |
| Subtechniek miTRE-aanval | Wachtwoord raden (T1110.001), Wachtwoordspraying (T1110.003) |
Voorgestelde stappen voor preventie:
- Complexe en lange wachtwoorden in de organisatie afdwingen. Dit biedt het noodzakelijke eerste beveiligingsniveau tegen toekomstige beveiligingsaanvallen.
- Voorkom toekomstig gebruik van het LDAP-protocol voor duidelijke tekst in uw organisatie.
Verdacht Golden Ticket-gebruik (vervalste autorisatiegegevens) (externe id 2013)
Vorige naam: Escalatie van bevoegdheden met vervalste autorisatiegegevens
Ernst: Hoog
Beschrijving:
Bekende beveiligingsproblemen in oudere versies van Windows Server stellen aanvallers in staat om het Privileged Attribute Certificate (PAC) te manipuleren, een veld in het Kerberos-ticket dat een gebruikersautorisatiegegevens bevat (in Active Directory is dit groepslidmaatschap), waardoor aanvallers extra bevoegdheden krijgen.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| MITRE-aanvalstechniek | Stelen of Forge Kerberos Tickets (T1558) |
| Subtechniek miTRE-aanval | Golden Ticket (T1558.001) |
Voorgestelde stappen voor preventie:
- Zorg ervoor dat alle domeincontrollers met besturingssystemen tot Windows Server 2012 R2 zijn geïnstalleerd met KB3011780 en dat alle lidservers en domeincontrollers tot 2012 R2 up-to-date zijn met KB2496930. Zie Silver PAC en Forged PAC voor meer informatie.
Schadelijke aanvraag van de hoofdsleutel van de Data Protection-API (externe id 2020)
Vorige naam: Aanvraag voor persoonlijke gegevensbescherming van schadelijke gegevens
Ernst: Hoog
Beschrijving:
De Data Protection API (DPAPI) wordt door Windows gebruikt om wachtwoorden die zijn opgeslagen door browsers, versleutelde bestanden en andere gevoelige gegevens veilig te beveiligen. Domeincontrollers bevatten een back-uphoofdsleutel die kan worden gebruikt voor het ontsleutelen van alle geheimen die zijn versleuteld met DPAPI op Windows-computers die lid zijn van een domein. Aanvallers kunnen de hoofdsleutel gebruiken om geheimen te ontsleutelen die worden beveiligd door DPAPI op alle computers die lid zijn van een domein. In deze detectie wordt een Defender for Identity-waarschuwing geactiveerd wanneer de DPAPI wordt gebruikt om de back-uphoofdsleutel op te halen.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| MITRE-aanvalstechniek | Referenties uit wachtwoordarchieven (T1555) |
| Subtechniek miTRE-aanval | N.v.t. |
Verdachte Beveiligingsaanval (Kerberos, NTLM) (externe id 2023)
Vorige naam: Verdachte verificatiefouten
Ernst: gemiddeld
Beschrijving:
Bij een brute-force-aanval probeert de aanvaller zich te verifiëren met meerdere wachtwoorden op verschillende accounts totdat een correct wachtwoord wordt gevonden of door één wachtwoord te gebruiken in een grootschalige wachtwoordspray die werkt voor ten minste één account. Zodra deze is gevonden, meldt de aanvaller zich aan met behulp van het geverifieerde account.
In deze detectie wordt een waarschuwing geactiveerd wanneer er veel verificatiefouten optreden met Behulp van Kerberos, NTLM of het gebruik van een wachtwoordspray wordt gedetecteerd. Met Behulp van Kerberos of NTLM wordt dit type aanval meestal horizontaal uitgevoerd, met behulp van een kleine set wachtwoorden voor veel gebruikers, verticaal met een grote set wachtwoorden voor een paar gebruikers of een combinatie van de twee.
In een wachtwoordspray, nadat een lijst met geldige gebruikers van de domeincontroller is geïnventaraliseerd, proberen aanvallers EEN zorgvuldig samengesteld wachtwoord tegen ALLE bekende gebruikersaccounts (één wachtwoord voor veel accounts). Als de eerste wachtwoordspray mislukt, proberen ze het opnieuw, waarbij ze een ander, zorgvuldig samengesteld wachtwoord gebruiken, normaal na 30 minuten tussen pogingen te wachten. Met de wachttijd kunnen aanvallers voorkomen dat de meeste op tijd gebaseerde accountvergrendelingsdrempels worden geactiveerd. Wachtwoordspray is snel een favoriete techniek geworden van zowel aanvallers als pentesters. Wachtwoordsprayaanvallen hebben bewezen effectief te zijn bij het verkrijgen van een eerste voet in een organisatie en voor het maken van latere laterale verplaatsingen, proberen bevoegdheden te escaleren. De minimale periode voordat een waarschuwing kan worden geactiveerd, is één week.
Leerperiode:
Eén week
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| MITRE-aanvalstechniek | Brute Force (T1110) |
| Subtechniek miTRE-aanval | Wachtwoord raden (T1110.001), Wachtwoordspraying (T1110.003) |
Voorgestelde stappen voor preventie:
- Complexe en lange wachtwoorden in de organisatie afdwingen. Dit biedt het noodzakelijke eerste beveiligingsniveau tegen toekomstige beveiligingsaanvallen.
Verkenning beveiligingsprincipals (LDAP) (externe id 2038)
Ernst: gemiddeld
Beschrijving:
Reconnaissance van beveiligingsprinciplen wordt gebruikt door aanvallers om kritieke informatie over de domeinomgeving te verkrijgen. Informatie die aanvallers helpt bij het toewijzen van de domeinstructuur, en het identificeren van bevoegde accounts voor gebruik in latere stappen in hun kill chain voor aanvallen. Lightweight Directory Access Protocol (LDAP) is een van de populairste methoden die worden gebruikt voor zowel legitieme als schadelijke doeleinden om een query uit te voeren op Active Directory. Verkenning van ldap-beveiligingsprincipals wordt vaak gebruikt als de eerste fase van een Kerberoasting-aanval. Kerberoasting-aanvallen worden gebruikt om een doellijst met SPN's (Security Principal Names) op te halen waarvoor aanvallers vervolgens TGS-tickets (Ticket Granting Server) proberen op te halen.
Om Defender for Identity toe te staan om legitieme gebruikers nauwkeurig te profilen en te leren, worden er in de eerste 10 dagen na de implementatie van Defender for Identity geen waarschuwingen van dit type geactiveerd. Zodra de initiële leerfase van Defender for Identity is voltooid, worden waarschuwingen gegenereerd op computers die verdachte LDAP-inventarisatiequery's of query's uitvoeren die zijn gericht op gevoelige groepen die gebruikmaken van methoden die niet eerder werden waargenomen.
Leerperiode:
15 dagen per computer, vanaf de dag van de eerste gebeurtenis, waargenomen vanaf de computer.
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| Secundaire MITRE-tactiek | Referentietoegang (TA0006) |
| MITRE-aanvalstechniek | Accountdetectie (T1087) |
| Subtechniek miTRE-aanval | Domeinaccount (T1087.002) |
Kerberoasting specifieke voorgestelde stappen voor preventie:
- Gebruik van lange en complexe wachtwoorden vereisen voor gebruikers met service-principal-accounts.
- Vervang het gebruikersaccount door Een beheerd serviceaccount (gMSA) voor groepen.
Notitie
Ldap-waarschuwingen (Security Principal Reconnaissance) worden alleen ondersteund door Defender for Identity-sensoren.
Verdachte Kerberos SPN-blootstelling (externe id 2410)
Ernst: Hoog
Beschrijving:
Aanvallers gebruiken hulpprogramma's om serviceaccounts en hun respectieve SPN's (service-principalnamen) op te sommen, een Kerberos-serviceticket voor de services aan te vragen, de TGS-tickets (Ticket Granting Service) vast te leggen uit het geheugen en hun hashes te extraheren en op te slaan voor later gebruik in een offline-beveiligingsaanval.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| MITRE-aanvalstechniek | Stelen of Forge Kerberos Tickets (T1558) |
| Subtechniek miTRE-aanval | Kerberoasting (T1558.003) |
Verdachte AS-REP-roosteraanval (externe id 2412)
Ernst: Hoog
Beschrijving:
Aanvallers gebruiken hulpprogramma's om accounts te detecteren waarvoor hun Kerberos-verificatie vooraf is uitgeschakeld en AS-REQ-aanvragen te verzenden zonder de versleutelde tijdstempel. Als reactie ontvangen ze AS-REP-berichten met TGT-gegevens, die mogelijk worden versleuteld met een onveilig algoritme zoals RC4, en ze opslaan voor later gebruik bij een aanval met offline wachtwoord kraken (vergelijkbaar met Kerberoasting) en plaintext-referenties beschikbaar maken.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| MITRE-aanvalstechniek | Stelen of Forge Kerberos Tickets (T1558) |
| Subtechniek miTRE-aanval | AS-REP roosteren (T1558.004) |
Voorgestelde stappen voor preventie:
- Kerberos-verificatie vooraf inschakelen. Zie Niet-beveiligde accountkenmerken voor meer informatie over accountkenmerken en hoe u deze herstelt.
Verdachte wijziging van een kenmerk sAMNameAccount (CVE-2021-42278 en CVE-2021-42287-exploitatie) (externe id 2419)
Ernst: Hoog
Beschrijving:
Een aanvaller kan een eenvoudig pad maken naar een domein Beheer gebruiker in een Active Directory-omgeving die niet is gepatcht. Met deze escalatieaanval kunnen aanvallers hun bevoegdheden eenvoudig uitbreiden naar die van een domein Beheer zodra ze een gewone gebruiker in het domein in gevaar hebben gebracht.
Bij het uitvoeren van een verificatie met behulp van Kerberos worden TGT (Ticket-Granting-Ticket) en de TGS (Ticket-Granting-Service) aangevraagd vanuit het Key Distribution Center (KDC). Als een TGS is aangevraagd voor een account dat niet kan worden gevonden, probeert de KDCS het opnieuw te doorzoeken met een volgnummer $.
Bij het verwerken van de TGS-aanvraag mislukt de zoekopdracht van de KDC voor de aanvragermachine DC1 die de aanvaller heeft gemaakt. Daarom voert de KDC een andere zoekactie uit die een volgwaarde $toevoegt. De zoekactie slaagt. Als gevolg hiervan geeft de KDC het ticket uit met behulp van de bevoegdheden van DC1$.
Door CVEs CVE-2021-42278 en CVE-2021-42287 te combineren, kan een aanvaller met domeingebruikersreferenties deze gebruiken om toegang te verlenen als domeinbeheerder.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| MITRE-aanvalstechniek | Toegangstokenmanipulatie (T1134),Exploitatie voor escalatie van bevoegdheden (T1068),Stelen of Forge Kerberos Tickets (T1558) |
| Subtechniek miTRE-aanval | Tokenimitatie/Diefstal (T1134.001) |
Honeytoken-verificatieactiviteit (externe id 2014)
Vorige naam: Honeytoken-activiteit
Ernst: gemiddeld
Beschrijving:
Honeytoken-accounts zijn decoderingsaccounts die zijn ingesteld om schadelijke activiteiten te identificeren en bij te houden die betrekking hebben op deze accounts. Honeytoken-accounts moeten ongebruikt blijven terwijl ze een aantrekkelijke naam hebben om aanvallers te lokken (bijvoorbeeld SQL-Beheer). Elke verificatieactiviteit van hen kan schadelijk gedrag aangeven. Zie Gevoelige of honeytokenaccounts beheren voor meer informatie over honeytoken-accounts.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| Secundaire MITRE-tactiek | Discovery (Detectie) |
| MITRE-aanvalstechniek | Accountdetectie (T1087) |
| Subtechniek miTRE-aanval | Domeinaccount (T1087.002) |
Verdachte DCSync-aanval (replicatie van adreslijstservices) (externe id 2006)
Vorige naam: Schadelijke replicatie van adreslijstservices
Ernst: Hoog
Beschrijving:
Active Directory-replicatie is het proces waarbij wijzigingen die op de ene domeincontroller worden aangebracht, worden gesynchroniseerd met alle andere domeincontrollers. Met de benodigde machtigingen kunnen aanvallers een replicatieaanvraag initiëren, zodat ze de gegevens kunnen ophalen die zijn opgeslagen in Active Directory, inclusief wachtwoordhashes.
In deze detectie wordt een waarschuwing geactiveerd wanneer een replicatieaanvraag wordt gestart vanaf een computer die geen domeincontroller is.
Notitie
Als u domeincontrollers hebt waarop Defender for Identity-sensoren niet zijn geïnstalleerd, vallen deze domeincontrollers niet onder Defender for Identity. Wanneer u een nieuwe domeincontroller implementeert op een niet-geregistreerde of niet-beveiligde domeincontroller, wordt deze mogelijk niet onmiddellijk geïdentificeerd door Defender for Identity als een domeincontroller. Het wordt ten zeerste aanbevolen om de Defender for Identity-sensor op elke domeincontroller te installeren om volledige dekking te krijgen.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| Secundaire MITRE-tactiek | Persistentie (TA0003) |
| MITRE-aanvalstechniek | Dumping van besturingssysteemreferenties (T1003) |
| Subtechniek miTRE-aanval | DCSync (T1003.006) |
Voorgestelde stappen voor preventie::
Valideer de volgende machtigingen:
- Mapwijzigingen repliceren.
- Alle mapwijzigingen repliceren.
- Zie Machtigingen voor Active Directory-domein Services verlenen voor profielsynchronisatie in SharePoint Server 2013 voor meer informatie. U kunt AD ACL Scanner gebruiken of een Windows PowerShell-script maken om te bepalen wie in het domein deze machtigingen heeft.
Verdachte AD FS DKM-sleutel gelezen (externe id 2413)
Ernst: Hoog
Beschrijving:
Het tokenondertekenings- en tokenontsleutelingscertificaat, inclusief de persoonlijke sleutels van Active Directory Federation Services (AD FS), worden opgeslagen in de AD FS-configuratiedatabase. De certificaten worden versleuteld met behulp van een technologie met de naam Distribute Key Manager. AD FS maakt en gebruikt deze DKM-sleutels wanneer dat nodig is. Om aanvallen zoals Golden SAML uit te voeren, heeft de aanvaller de persoonlijke sleutels nodig die de SAML-objecten ondertekenen, net zoals het krbtgt-account nodig is voor Golden Ticket-aanvallen. Met het AD FS-gebruikersaccount kan een aanvaller toegang krijgen tot de DKM-sleutel en de certificaten ontsleutelen die worden gebruikt om SAML-tokens te ondertekenen. Deze detectie probeert alle actoren te vinden die proberen de DKM-sleutel van AD FS-object te lezen.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| MITRE-aanvalstechniek | Niet-beveiligde referenties (T1552) |
| Subtechniek miTRE-aanval | Niet-beveiligde referenties: persoonlijke sleutels (T1552.004) |
Notitie
Verdachte leeswaarschuwingen voor AD FS DKM-sleutels worden alleen ondersteund door Defender for Identity-sensoren op AD FS.
Vermoedelijke DFSCoerce-aanval met behulp van Distributed File System Protocol (externe id 2426)
Ernst: Hoog
Beschrijving:
DFSCoerce-aanval kan worden gebruikt om een domeincontroller af te dwingen om te verifiëren bij een externe computer die onder controle van een aanvaller is met behulp van de MS-DFSNM-API, waardoor NTLM-verificatie wordt geactiveerd. Hierdoor kan een bedreigingsacteur uiteindelijk een NTLM Relay-aanval starten.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| MITRE-aanvalstechniek | Geforceerde verificatie (T1187) |
| Subtechniek miTRE-aanval | N.v.t. |
Verdachte Kerberos-delegatiepoging met behulp van de BronzeBit-methode (CVE-2020-17049-exploitatie) (externe id 2048)
Ernst: gemiddeld
Beschrijving:
Door misbruik te maken van een beveiligingsprobleem (CVE-2020-17049), proberen aanvallers verdachte Kerberos-delegatie uit te voeren met behulp van de BronzeBit-methode. Dit kan leiden tot escalatie van onbevoegde bevoegdheden en kan de beveiliging van het Kerberos-verificatieproces in gevaar komen.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| MITRE-aanvalstechniek | Stelen of Forge Kerberos Tickets (T1558) |
| Subtechniek miTRE-aanval | N.v.t. |
Abnormale AD FS-verificatie (Active Directory Federation Services) met behulp van een verdacht certificaat (externe id 2424)
Ernst: Hoog
Beschrijving:
Afwijkende verificatiepogingen met behulp van verdachte certificaten in Active Directory Federation Services (AD FS) kunnen duiden op mogelijke beveiligingsschendingen. Het bewaken en valideren van certificaten tijdens AD FS-verificatie is van cruciaal belang voor het voorkomen van onbevoegde toegang.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| MITRE-aanvalstechniek | Webreferenties forge (T1606) |
| Subtechniek miTRE-aanval | N.v.t. |
Notitie
Abnormale Ad FS-verificatie (Active Directory Federation Services) met behulp van een verdachte certificaatwaarschuwingen worden alleen ondersteund door Defender for Identity-sensoren op AD FS.
Verdachte accountovername met behulp van schaduwreferenties (externe id 2431)
Ernst: Hoog
Beschrijving:
Het gebruik van schaduwreferenties in een accountovernamepoging suggereert schadelijke activiteiten. Aanvallers kunnen proberen zwakke of aangetaste referenties te misbruiken om onbevoegde toegang te krijgen en controle te krijgen over gebruikersaccounts.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| MITRE-aanvalstechniek | Dumping van besturingssysteemreferenties (T1003) |
| Subtechniek miTRE-aanval | N.v.t. |
Verdachte Kerberos-ticketaanvraag (externe id 2418)
Ernst: Hoog
Beschrijving:
Deze aanval omvat het vermoeden van abnormale Kerberos-ticketaanvragen. Aanvallers kunnen proberen misbruik te maken van beveiligingsproblemen in het Kerberos-verificatieproces, wat mogelijk leidt tot onbevoegde toegang en inbreuk op de beveiligingsinfrastructuur.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| Secundaire MITRE-tactiek | Verzameling (TA0009) |
| MITRE-aanvalstechniek | Adversary-in-the-Middle (T1557) |
| Subtechniek miTRE-aanval | LLMNR/NBT-NS vergiftiging en SMB Relay (T1557.001) |
Wachtwoordspray tegen OneLogin
Ernst: Hoog
Beschrijving:
Bij wachtwoordspray proberen aanvallers kleine subset van wachtwoorden te raden tegen een groot aantal gebruikers. Dit wordt gedaan om te zoeken of een van de gebruikers een bekend/zwak wachtwoord gebruikt. We raden u aan om het bron-IP-adres te onderzoeken dat mislukte aanmeldingen uitvoert om te bepalen of ze legitiem zijn of niet.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| MITRE-aanvalstechniek | Brute Force (T1110) |
| Subtechniek miTRE-aanval | Wachtwoordspraying (T1110.003) |
Verdachte OneLogin MFA vermoeidheid
Ernst: Hoog
Beschrijving:
Bij MFA-vermoeidheid verzenden aanvallers meerdere MFA-pogingen naar de gebruiker terwijl ze proberen te laten voelen dat er een fout is in het systeem die MFA-aanvragen weergeeft die vragen om de aanmelding of weigering toe te staan. Aanvallers proberen het slachtoffer te dwingen de aanmelding toe te staan, waardoor de meldingen worden gestopt en de aanvaller zich kan aanmelden bij het systeem.
We raden u aan het bron-IP-adres te onderzoeken dat mislukte MFA-pogingen uitvoert om te bepalen of ze legitiem of niet zijn en of de gebruiker aanmeldingen uitvoert.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Referentietoegang (TA0006) |
|---|---|
| MITRE-aanvalstechniek | Genereren van meervoudige verificatieaanvragen (T1621) |
| Subtechniek miTRE-aanval | N.v.t. |